目录
IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
一、思考
1. 什么是IDS?
2. IDS和防火墙有什么不同?
3. IDS工作原理?
4. IDS的主要检测方法有哪些详细说明?
5. IDS的部署方式有哪些?
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
二、实验
1、实验拓扑
2、实验步骤
2.1 配置防火墙
2.2 外网配置
直连不需要做其他配置
2.3 内网配置
2.4 安全策略
2.4.1 划分接口区域
2.4.2 配置安全防御策略
入侵检测默认使用web_server防止一些安全隐患比如SQL注入等入侵的手段
2.5 测试
正常的通信方式会显示202状态码表示访问成功,若出现一些策略中非法访问方式则会报404错误
正常访问服务器会返回如下所示内容
非法访问会告警
三、总结
-
什么是IDS?
释义:
IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"。
功能:
本质上,入侵检测系统是一个典型的"窥探设备"也就类似生活中的监控器。对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。IDS的检测包括:
- 异常检测:当某个事件与一个 已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警
-
特征检测: IDS核心是特征库(签名:签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为)
- 异常检测模型:不匹配预期模式或数据集中其他项目的项目、事件或观测值的识别,总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵
-
误用检测模型:一种基于 模式匹配的网络入侵 检测技术。假设所有的网络攻击行为和方法都具有一定的模式或特征,如果把以往发现的所有网络攻击的特征总结出来并 建立一个入侵信息库(特征库),然后将搜集到的信息与已知的网络入侵和系统误用模式数据库进行比较,即可发现未知的网络攻击行为
-
IDS和防火墙有什么不同?
区别:
功能上:
- IDS作用是监控数据、异常告警、超限阻止等;
- 防火墙的作用是隔离非授权用户在区域间并过滤对受保护网络有害流量或数据包
工作性质上:
- 防火墙是针对异常攻击的一种被动的防御,旨在保护;
- IDS则是主动出击寻找潜在的攻击者,发现入侵行为;
- 防火墙只是防御为主,通过防火墙的数据便不再进行任何操作;
- IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补
-
IDS工作原理?
原理:
它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。
-
IDS的主要检测方法有哪些详细说明?
1、模式匹配(误用检测)
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化
模式的表示方式:
(1)一个过程---如通过字符串匹配以寻找一个简单的条目或指令并执行
(2)一个输出---如获取权限
优点:只需收集相关的数据集合,显著减少系统负担且技术已相当成熟,检测准确度和检测效率高
缺点:需要不断的升级以对付不断出现的异常攻击手法,不能检测到从未出现过的黑客攻击手段
2、统计分析(异常检测)
统计分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生
方法:创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)
优点:可检测到未知的入侵和更为复杂的入侵
缺点:误报、漏报率高,且不适应用户正常行为的突然改变,具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法等正在研发中的
3、完整性分析(异常检测)
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制(签名),称为消息摘要函数(例如MD5),能识别及其微小的变化,以此判断入侵
方法:建立完整性分析对象(文件/目录/数字资源)在正常状态时的完整性签名,匹配签名值是否发生变化
优点:不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现
缺点:一般以批处理方式实现,不用于实时响应
4、融合使用异常检测与误用(特征)检测
-
IDS的工作流程,部署方式有哪些?
工作流程
- 信息收集 入侵检测的第一步是信息收集,内容包括网络流量的内容、用户连接活动的状态和行为
- 信号分析 对上述收集到的信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析
-
实时记录、报警或有限度反击IDS根本的任务是要对入侵行为做出适当的反应,这些反应包括详细日志记录、实时报警和有限度的反击攻击源
部署方式
IDS产品采用的是旁路部署方式,一般直接通过交换机的监听口进行网络报文采样,或者在需要监听的网络线路上放置侦听设备(如分光器、集线器)
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口,也可以使用集线器、分光器实现流量复制;
旁路优点: 通过流量镜像方式部署,不改变现网
旁路缺点:只能检测不能进行防御
-
IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
签名
IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击
签名过滤器
作用
因为设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉
签名过滤器的动作
签名过滤器的动作分为三种:
(1)采用签名的缺省动作(2)告警(3)阻断
自定义签名过滤器时默认的动作是采用签名的缺省动作
例外签名
作用
由于签名过滤器会批量过滤出签名,为了方便管理就会设置统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作
例外签名的动作
- 阻断:丢弃命中签名的报文并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 放行:对命中签名的报文放行,且不记录日志。
- 黑名单:指丢弃命中签名的报文,阻断报文所在的数据流,记录日志并可以将报文的源地址或目标地址添加至黑名单
优先级:例外签名的动作优先级高于签名过滤器